הפרעה אוטומטית בתקיפה Microsoft Defender for Business
התקפה המופעלת על-ידי בני אדם היא התקפה פעילה של פושעי סייבר שסתננו לארגון, מגדילים את ההרשאות שלהם, מנווטים ברשת, פורסים תוכנות כופר או גונבים מידע. התקפות מסוג זה יכולות להיות קטסטרופליות לפעולות עסקיות, בדרך כלל קשה לטפל בהן, ולפעמים הן ממשיכות לאיים על פעולות עסקיות לאחר מפגש ראשוני. לקבלת מידע נוסף, ראה תקיפות של תוכנות כופר המופעלות על-ידי בני אדם.
כדי לסייע בהגנה מפני התקפות המופעלות על-ידי בני אדם או מפני התקפות מתקדמות אחרות, Microsoft Defender XDR להפריע באופן אוטומטי לתקיפות בנובמבר 2022 עבור לקוחות ארגוניים. עכשיו, היכולות האלה מגיעות ל- Defender for Business! מאמר זה מתאר כיצד פועלת הפרעה אוטומטית בתקיפה, כיצד להציג פרטים אודות תקיפה וכיצד לקבל יכולות אלה.
כיצד פועלת הפרעה אוטומטית בתקיפה
הפרעה אוטומטית בתקיפה נועדה:
- מכילות התקפות מתקדמות המתבצעות כעת;
- הגבל את ההשפעה וההתקדמות של תקיפות על הנכסים העסקיים שלך (כגון מכשירים); ו-
- ספק זמן רב יותר לצוות ה- IT/האבטחה שלך לתיקון מלא של מתקפה.
הפרעה אוטומטית בתקיפה משתמשת בתובנות של חוקרי האבטחה של Microsoft ומודלים מתקדמים של בינה מלאכותית כדי לבטל את המורכבות של מתקפות מתקדמות. היא מגבילה את התקדמותו של שחקן איומים בשלב מוקדם ומפחיתה באופן דרמטי את ההשפעה הכוללת של מתקפה, החל מעלויות משויכת וכלה לאבדן פרודוקטיביות. עיין בכמה דוגמאות בבלוג האבטחה של Microsoft.
עם הפרעה אוטומטית בתקיפה, ברגע שמזוהתה התקפה המופעלת על-ידי בני אדם במכשיר, נדרשים שלבים מיד כדי להכיל את המכשיר המושפע וחשבונות המשתמש במכשיר. אירוע נוצר בפורטל Microsoft Defender (https://security.microsoft.com). שם, צוות ה- IT/האבטחה יכול להציג פרטים אודות הסיכון ועל מצב הכלה של נכסים שנחשף לסכנה במהלך התהליך ואחריו. דף אירוע מספק פרטים אודות התקיפה והמצב מעודכן של הנכסים המושפעים.
פעולות תגובה אוטומטיות כוללות:
- מכיל מכשיר על-ידי חסימת תקשורת נכנסת/יוצאת
- מכיל חשבון משתמש על-ידי ניתוק חיבורי המשתמש הנוכחיים ברמת המכשיר
חשוב
- כדי להציג מידע אודות תקיפה מתקדמת שזוהתה, עליך להקצות את התפקיד 'קורא אבטחה', 'מנהל אבטחה' או 'מנהל מערכת כללי'.
- כדי לבצע פעולות תיקון, שחרר מכשיר/משתמש כלול או הפוך מחדש חשבון משתמש לזמין, דרוש לך תפקיד מנהל אבטחה או מנהל מערכת כללי.
- ראה תפקידי אבטחה והרשאות ב- Defender for Business.
הצגת פרטים אודות התקפה בפורטל Microsoft Defender'
בפורטל Microsoft Defender, עבור אל אירועים.
בחר מקרה המתויג עם הפרעה בתקיפה.
סקור את גרף האירועים, המאפשר לך לקבל את כל סיפור ההתקפה ולהעריך את ההשפעה והמצב של הפרעות ההתקפה.
כאשר תהיה מוכן לשחרר מכשיר או חשבון משתמש כלול, או להפוך מחדש חשבון משתמש לזמין, בצע אחד מהפעולות הבאות:
- כדי לשחרר מכשיר כלול, בחר את ההתקן ולאחר מכן בחר הפצה מכלולה.
- כדי לשחרר משתמש כלול, בחר את חשבון המשתמש ולאחר מכן, בחלונית הצדדית, בחר בטל.
אירועים שיבוש כוללים תגית עבור וסוג Attack Disruption
האיום הספציפי שזוהה (כגון תוכנת כופר). אם צוות ה- IT/האבטחה שלך מקבל הודעות דואר אלקטרוני לגבי אירועים, תגיות אלה מופיעות גם בהודעות הדואר האלקטרוני.
כאשר אירוע מפריע, טקסט מסומן מופיע מתחת לכותרת האירוע. מכשירים או חשבונות משתמשים כלולים מופיעים עם תווית המציינת את המצב שלהם.
מעקב אחר פעולות הפרעה בתקיפה במרכז הפעולות
מרכז הפעולות מאגד את כל פעולות התיקון והתגובה, בין אם פעולות אלה בוצעו באופן אוטומטי או ידני. באפשרותך להציג את כל פעולות הפרעות ההתקפה האוטומטיות במרכז הפעולות. בנוסף, לאחר שצוות ה- IT/האבטחה שלך צמצם את הסיכון והשלים את החקירה של אירוע, הוא יכול לשחרר נכסים כלולים.
בפורטל Microsoft Defender, עבור אל פעולות & שליחות מרכז>הפעולות.
בחר את הכרטיסיה היסטוריה.
בחר פעולה, כגון כלול משתמש אוכלול מכשיר ולאחר מכן בחר בטל.
לקבלת מידע נוסף, ראה סקירת פעולות תיקון במרכז הפעולות.
כיצד לקבל הפרעות בתקיפה אוטומטית
הפרעה אוטומטית בתקיפה מוכללת ב- Defender for Business; אינך צריך להפעיל יכולות אלה באופן מפורש. חשוב לקלוט את כל המכשירים של הארגון שלך (מחשבים, טלפונים ומחשבי Tablet) ב- Defender for Business כדי שהם יהיו מוגנים בהקדם האפשרי.
בנוסף, הירשם לקבלת תכונות תצוגה מקדימה כדי שתוכל לקבל את היכולות העדכניות והנהדרות ביותר ברגע שהן יהיו זמינות.